Специалисты исследовали функционал Linux-бэкдора FakeFile

Эксперты «Доктор Веб» провели анализ бэкдора, который работает на Linux-устройствах. Троянская программа Linux.BackDoor.FakeFile.1 маскируется под PDF-файлы, документы MS Office или Open Office.

Когда вредоносная программа запускается, она сохраняется в папке .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. После в папке, из которой программа запускается, она ведет поиск скрытого документа с именем, аналогичным своему, и заменяет им исполняемый файл. Если скрытый файл отсутствует, троянская программа создает его и открывает через gedit.

Затем FakeFile проверяет имя дистрибутива Linux, который установлен на системе. При его отличии от openSUSE троянская программа производит запись команды для автозапуска в файлы <HOME>/.profile или <HOME>/.bash_profile. После вредоносная программа осуществляет извлечение из собственного файла и расшифровку конфигурационной информации, а также запуск двух потоков. С помощью первого потока FakeFile будет обмениваться данными с командным сервером, а второй будет применяться для отслеживания продолжительности соединения, которое после 30 минут разрывается.

Бэкдор может передавать различную информацию на командный сервер, удалять каталоги и файлы, менять имя папки, удалять себя, запускать новую копию процесса, организовывать и завершать backconnect, запускать sh, создавать файлы и папки.

По словам исследователей, для работы троянская программа не должна иметь суперпользовательские права.